Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 3)

Автор: paparaci
Дата сообщения: 02.11.2007 09:46
DimaDimov может у него тарелка с передатчиком..


Автор: VovikK
Дата сообщения: 02.11.2007 10:03
Вопрос такой всем уважаемым!

Стоит версия 6.3.1. Периодически (может 1 раз в месяц, может 1 раз в неделю) перестает работать админская консоль. При запуске висит квадрат с мужиком и все. Снимаю задачу в процессах. Останавливаю службу (она, кстати, останавливается ОЧЕНЬ долго - минут 8-10). Заново стартую. Захожу в "Интерфейсы" - там ПУСТО. Естественно, инета ни у кого нет. В логах все в порядке. Приходится раза по 3 перегружать сервак, чтобы определились сетевушки. Сегодня даже такое шаманство не помогло. Поставил сверху 6.4 - все появилось, инет пошел. Но вопрос остался - почему Керио теряет интерфейсы сетевых карточек?
Автор: zerik
Дата сообщения: 02.11.2007 10:37
Поскажите, можно ли авторизовывать пользователей по MAC адресу компа например как в lan2net ?
Автор: SVR
Дата сообщения: 02.11.2007 10:47
Понимаю. Но как вы пердставляете работу со спутниковым провайдером без испльзования VPN? (Пусть то будет Его софт как SKyDSL или другой,хотя я всеже со SKyDSL работаю). Запросы всеравно должны перанаправляться в разные шлюзы. Я так все время аналогию предсталяю для этого, как будто одна труба потоньше, запихана в другую потольще (ну конечно нужно учитвать та что потоньше все время размер меняет =) ). Просто я так понимаю, если НАТом подменю обратный адрес на другой, то пакет придет на тот адрес. Но вот проблем ка то в том и состоит, что

Добавлено:
Извиняюсь не туда нажал =)
Понимаю. Но как вы пердставляете работу со спутниковым провайдером без испльзования VPN? (Пусть то будет Его софт как SKyDSL или другой,хотя я всеже со SKyDSL работаю). Запросы всеравно должны перанаправляться в разные шлюзы. Я так все время аналогию предсталяю для этого, как будто одна труба потоньше, запихана в другую потольще (ну конечно нужно учитвать та что потоньше все время размер меняет =) ). Просто я так понимаю, если НАТом подменю обратный адрес на другой, то пакет придет на тот адрес. Но вот проблем ка то в том и состоит, что если подменю адрес на какой то левый то то устройство не сможет разрешить адресацию ибо не будет у него записи в соответствующей таблице. Вот и получаеться фактически 2 логических интерфейса...
Автор: Hrist
Дата сообщения: 02.11.2007 11:13
VovikK
возможно сетевуха косячит какая нить - пропробуй или дрова обновить или сетевуху поменять... бывает очень помогает при зависах керио...
SVR
я пробовал - получилось очень косячно и очень зависимо - все равно днс запросы и прочее шло через один канал...
rainforcer

Цитата:
Ночью сервер ломится в инет за обновлениями антивирусов. В логах (HTTP) все корректно (серверы проходят авторизацию по IP, а не по логин-пароль). Что может быть, как думаете?
нужно логи включить на все правила которые касаются внешки... включить логи на коннект и смотреть логи коннектион - возможно трафик жреться не по хттп.
Автор: ArmAngel
Дата сообщения: 02.11.2007 12:32
Раньше стояла эта парочка всё было хорошо.
стоял 6.3.1 Керио и керио Майл 6.3.1

переставил Winroute на версию 6.4.0.31
и началися баги с соединением POP в локальной сети.

клиент OUTLOOK грузит 10-20 из 50 сообщений и всё... стоим...

Правила всё раздрешено для локальных.
даже убрал на всякий Лимит соединений на хост.

опять 10-20 загружает из 50 и стоит...

вырубаю КЕРИО Винроут - OUTLOOK загружает всё польностью...

что за баги? ХЕЛП!!!
Автор: Germanus
Дата сообщения: 02.11.2007 15:03
x_Dream
Открой в блокноте winrout.cfg найди секцию <list name="RasEntryParams">, там должен быть один интерфейс (один тэг <listitem>), а у тебя там мусор от предыдущего драйвера модема остался (чаще всего именно так бывает). Нужно удалить его. Оставить только тот что в данный момент справедлив. Если не знаешь кто ежик, а кто черепаха - заходиш в админ консоль керио. Далее Configuration - Interfaces, выбираешь свой диалап конекшн - Edit и даешь ему какое нибудь имя другое (любое) к примеру MyInternet. Потом открываешь winrout.cfg и в секции <list name="RasEntryParams"> видишь только что переименованное соединение. Его и оставляешь, остальное удаляешь. Только не забудь перед этим остановить керио, а то он назад все вернет из бака.
Удачи.
Автор: Andreyua
Дата сообщения: 02.11.2007 15:53
как избавиться от этих надоедливых и вредных сообщения в KWF
"Unable to send message - relay not configured, message: c:\program files\kerio\winroute firewall\mqueue\0665057c-8b9c-4718-b7bc-3612f22c6048.eml, retryNo: 5
[02/Nov/2007 14:53:10] (5024) Next retry for last message at: 1194069380"

Я хочу чтобы этих сообщений вообще в логах не было и чтобы Керио не создавал файлы в этой папке вообще c:\program files\kerio\winroute firewall\mqueue\
Автор: ArmAngel
Дата сообщения: 02.11.2007 16:01
проблему так и не решил, или баг 6.4 версии или что ещё.

Сделал порт 8000 пересылка MAP на 110 этого же сервера, работает.
А 110 глючит. Особенно при получении от 100 писемь.
Автор: x_Dream
Дата сообщения: 02.11.2007 19:06
Hrist
>>скриншот закладки интерфейцес в керио - и распиши какой интерфейс для чего оставлен.
http://img216.imageshack.us/img216/8893/winrouteintts7.jpg
10.0.0.8 - домашняя (квартирная) локалка
10.0.1.254 - wi-fi-ная локалка (халявная точка доступа)
stream - стримовский инет через PPPoE.
Комп роутит между этими 2мя локалаками + пускает всех в инет.
Все это работает нормально кроме флудерского лога.
PS: Dial-In - я к нему еще по vpn коннекчусь иногда.. Стандартными средствами винды.
PPS: Когда винроут "дозванивается" на стрим там в логе появляется строчка с парвильным названием интерфейса.
Автор: rainforcer
Дата сообщения: 04.11.2007 03:43
Hrist

Цитата:

нужно логи включить на все правила которые касаются внешки... включить логи на коннект и смотреть логи коннектион - возможно трафик жреться не по хттп.


Я тоже подумываю, что winroute принимает за внешний какой-то из внутренних трафиков. Вопрос в том, как он определяет, что трафик внешний? По IP? В Routing table на 0.0.0.0 показывает один интерфейс (правильный). Юзеры ходят только по http через non-transparent proxy. В нттр логах ничего нет. Где грабли?
Автор: Garik_Lugansk
Дата сообщения: 04.11.2007 10:01
Скажите. Вот стоит у меня керио 6,4,0 и на нём включено прокси с кабаном, и стоит другой ещё прокси на томже компе, так вот раздаётся инет через керио, и я заметил такую закономерность что на керио прокси сайты загружаются медленее, чем через другой прокси мимо керио. Разница существенная. В чём может быть дело?
Автор: Hrist
Дата сообщения: 06.11.2007 10:43
rainforcer
внешний трафик он определает по пакетам идущим на гетвей указанный по умолчанию...
все таки было бы не плохо поглядеть скриншот твоих трафик полисей и результат комманды ipconfig /all

Добавлено:
x_Dream
хм... попробуй совет Germanus-а на прошлой странице



Добавлено:
ArmAngel
прокси инспектор отключен в правилах на локалке?
Andreyua
я так понимаю у вас в свойствах каких то юзеров указаны емайлы и поставлена отправка отчетов при достижении квоты - вот керио и пытается их отправить - но так как не настроены параметры почтового сервера через который их преполагается отправить - от сообщает вам об этой проблеме а письма -отчеты кладет в очередь...

тут или отключить отсылку репортов при достижении квоты, или удалить из свойств юзеров почтовые адреса, или настроить параметры почтового сервера выбранного для пересылки репортов...
Автор: x_Dream
Дата сообщения: 06.11.2007 11:15
Hrist и особенно Germanus
большое спасибо! - удаление лишнего элемента из RasEntryParams - помогло.
Я и сам туда уже лазил и удалял но, похоже, что-то криво делал (видимо не тот элемент удалил).. Сейчас попробовал еще раз и все получилось - флуд прекратился.


Автор: spetiolizer
Дата сообщения: 06.11.2007 15:49
пробовал ставить 6.4.0 build 3176 так ему не нравится IP сервера 192.168.0.1, он его для своих нужд, ихмо, берёт.
в более ранних версиях такого не было.
что можно сделать?
Автор: lavren
Дата сообщения: 06.11.2007 17:19
spetiolizer

Цитата:
ему не нравится IP сервера 192.168.0.1,

В каком смысле? Какие ошибки выдает? В чем проблема?
Автор: TuMBLer
Дата сообщения: 06.11.2007 17:30
привет всем.
у меня вопрос. я поставил винрут (6.4.0)
Всё пучком. Встал всё робит проблем нет. Суть вопроса:
У меня сеть со статическими IP адресами. Хочу считать траффик поюзерно.
доменов АД нет. Хочу автоматическую аутентификацию по IP.
Это вообще возможно ?

Вроде всё облазил ничё интересного не нашёл.
В манах написано что возможно и в подробностях описаны способы авторизации в домене и через Web интерфейс. Но статистика всех пользователей выдаётся в кучу "не прошедших авторизацию" и не разделяет по IP.
А каждого в ручную прописывать я рехнусь. Кто настраивал нечто подобное - подскажите пожалста.

Заранее благодарен.
Автор: lavren
Дата сообщения: 06.11.2007 17:51
TuMBLer

Цитата:
Хочу автоматическую аутентификацию по IP.

В свойствах юзера в поле Specific host IP addresses поставь нужный IP.

Цитата:
А каждого в ручную прописывать я рехнусь.

А откуда прога узнает какие юзеры у тебя есть если нет домена?
Автор: spetiolizer
Дата сообщения: 07.11.2007 00:19

Цитата:
В каком смысле? Какие ошибки выдает? В чем проблема?

После установки 6.4.0 build 3176 сетевуха, которая смотрит в локалку (192.168.0.1), пишит, что данный IP зннят и соответственно не работает
Автор: TuMBLer
Дата сообщения: 07.11.2007 07:05
lavren
Спасиба. Блин без домена плохо =)
Автор: lavren
Дата сообщения: 07.11.2007 09:21
spetiolizer
О такой проблеме никто не упоминал да и у меня он этот адрес не использует! Проверь или у тебя в сети нет такова IP! Может какой-то модем недавно установили?
Отсоедини комп с керио от сети и пропингуй этот адрес на другом компе имеющем доступ в сеть!
Автор: Slim999
Дата сообщения: 07.11.2007 09:23
подскажите программулину которая может выгрузить список пользователей с лимитами из WinRoute 6, ато пользователей более 200, а начальник попросил составить список у кого сколько инету...
Автор: Yips
Дата сообщения: 07.11.2007 11:51
Slim999
Файл --> Печать... --> Adobe PDF
Автор: Slim999
Дата сообщения: 07.11.2007 15:11
Yips
Издеваетесь? Попробую более ясно выразится:
Есть WinRoute 6, в нём юзвери порядка 200 человек с инетом, и ещё штук 300 без инета. Ищется способ выгрузки всех пользователей в файл любого формата, главное чтоб напротив логина была цифра с выставленным ему лимитом.
Автор: teromaniac
Дата сообщения: 07.11.2007 15:38
А чтот и не работает. У меня последняя версия. 6.0.4
Автор: lavren
Дата сообщения: 07.11.2007 15:57
teromaniac
1) Последняя версия Kerio WinRoute Firewall ™ 6.4.0 build 3176 от September 17, 2007
2) Ставить пробовал? Я поставил и не поверишь -- запустился!!!
3) Объясни в чем проблема! Телепатов здесь нету!
Автор: dm81
Дата сообщения: 07.11.2007 21:35
Привет всем!
Проблемка с сабжем версии 6.3.1
Мои правила
ipconfig /all :

Host Name . . . . . . . . . . . . : dm
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes

Ethernet adapter local:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Physical Address. . . . . . . . . : 00-E0-4C-52-6D-49
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 172.16.0.1

Ethernet adapter gornet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
Physical Address. . . . . . . . . : 00-50-22-B8-06-03
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.151.23.90
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.151.23.253
DNS Servers . . . . . . . . . . . : 172.16.0.1
192.168.0.1
NetBIOS over Tcpip. . . . . . . . : Disabled

Проблема с инетом,который подключается через стандартный VPN.
В KWF у этого интерфейса стоит опция "постоянное подключение".
После запуска KWF инет не коннектится. В логах dial и error пишется:
"Unable to dial "inet" (The connection was terminated by the remote computer before it could be completed. For further assistance, click More Info or search Help and Support Center for this error number."
При отключенном KWF все нормально работает.
Не может быть так, что это заморочки провайдера, например?
Автор: aljd
Дата сообщения: 08.11.2007 01:43
dm81
можно попробовать устанавливать VPN соединение не с помощью Winroute, a, например, VPN Dialer
Автор: dm81
Дата сообщения: 08.11.2007 08:46
aljd
само VPN соединение стандартное виндовое (ну или как там его ...)
в KWF я подключаю его лишь как интерфейс и задаю ему "постоянное подключение"

Пару дней все работало без запинки. Но встал вопрос об отключении компа удаленно (последний из локалки, кто юзает инет, уходя гасит свет), поставил radmin 2.2. Впервые это обнаружилось как раз после такого принудительного выключения! Выключение сервиса radmin_server, не дает никакого результата.
Переустановку KWF еще не пробовал.
Автор: spetiolizer
Дата сообщения: 08.11.2007 09:13

Цитата:
spetiolizer
О такой проблеме никто не упоминал да и у меня он этот адрес не использует! Проверь или у тебя в сети нет такова IP! Может какой-то модем недавно установили?
Отсоедини комп с керио от сети и пропингуй этот адрес на другом компе имеющем доступ в сеть!

При установке более ранних версий всё работает нормально. Вывод - проблема именно в этом билде.

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788

Предыдущая тема: Не расшариваются SYSVOL и NETLOGON


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.